Ciberseguridad y el peligro latente

¿Qué tienen en común Target, Home Depot, Liverpool, Sony Pictures, la NSA (National Security Agency), los Bancos Centrales de Bangladesh y de Vietnam y el despacho de abogados Mossack Fonseca? Efectivamente, todos fueron víctima de ataques cibernéticos de un tipo u otro recientemente y recibieron mucha atención mediática.

En el caso de la NSA, Edward Snowden, quien trabajó en 2006 en la CIA como técnico en sistemas, fue contratado durante 2013 para dar servicio de consultoría sobre seguridad cibernética por parte de Dell a la Agencia de Seguridad de los Estados Unidos (NSA). Con el tiempo y por lo que él consideró faltas éticas por parte de las autoridades americanas, empezó a copiar información confidencial de la NSA y publicando posteriormente información particularmente sensible para la seguridad de su país.

El caso de los documentos conocidos como los Panama Papers aparentemente también se trata de alguna persona trabajando al interior de la empresa (Mossack Fonseca), o por lo menos con amplio acceso a sus sistemas informáticos. Copió más de 11 millones de documentos confidenciales del despacho y se los entregó al periódico Alemán Suddeutsche ZeitungDespués de un año, el periódico utilizo el ICIJ (Consorcio Internacional de Periodistas de Investigación) para simultáneamente publicar, el 3 de abril de 2016, en 76 diferentes países y a través de 109 medios de comunicación, la base de datos de información creada por la firma de abogados Mossack Fonseca, revelando información sobre empresas, así como el ocultamiento de propiedades de empresas, activos, ganancias y evasión tributaria de jefes de estado y de gobierno, líderes de la política mundial, personas políticamente expuestas y personalidades de las finanzas, negocios, deportes y arte. 

Los casos de Liverpool, Target y Home Depot fueron casos en los que hackers accedieron a los sistemas informáticos y se robaron los datos de usuarios y contraseñas de sus clientes, incluyendo la información de sus tarjetas de crédito. Estas empresas tuvieron que pagar sumas millonarias para resarcir los daños a sus clientes. Según reportes periodísticos, se estima que Liverpool tuvo una pérdida de más de 100 millones de pesos entre resarcir el daño sufrido por sus clientes y las eventuales multas por parte de las autoridades.

El hack perpetrado a Sony Pictures llamó mucho la atención, considerando que fue un ataque llevado a cabo por el gobierno de Corea del Norte para detener la presentación de la película norteamericana “La Entrevista”, una comedia sobre una conspiración para asesinar al líder Norcoreano Kim Jong-Un. Lo más preocupante de este grupo de hackers es que se piensa que los mismos llevaron a cabo dos otros hacks adicionales. Estos son de los más preocupantes y de los menos comentados. Estos individuos u organización tuvieron la capacidad de sobreponerse a los sistemas de seguridad de los bancos centrales de Bangladesh y de Vietnam, llevando a cabo robos vía transferencias a cuentas ficticias por cantidades multimillonarias – 81 millones de dólares –, a través del sistema considerado como el de más amplia confiabilidad mundial, el SWIFT (Society for the Worldwide Interbank Financial Telecommunication).   El robo de por sí es preocupante, pero aún más preocupante es que el sistema de telecomunicaciones entre bancos, considerado como el “Rolls Royce” del sistema de pagos interbancarios, ha demostrado ser tan confiable y tan seguro como el eslabón más débil del sistema. En muchos países, los bancos tienen varios niveles y capas de seguridad, e inclusive los sistemas de telecomunicación están almacenados en edificios o cuartos totalmente independientes de donde se encuentran los sistemas e información de los bancos mismos. Sin embargo, este no es el caso de los bancos donde la seguridad es bastante más laxa, como fueron los incidentes de estos dos sistemas bancarios centrales.

Todos estos ejemplos los comentamos como muestra de la incapacidad de grandes empresas, sistemas financieros y gobiernos de proteger su información y sus sistemas de información tecnológica. Estos ejemplos son de empresas públicas, de gobiernos y de instituciones con grandes presupuestos para protegerse e instaurar programas de ciberseguridad y que aun así son atacados exitosamente. Ahora, imaginemos la empresa mediana y pequeña en países menos desarrollados y con sistemas menos sofisticados, como pueden ser las de nuestro país, las cuales serían altamente vulnerables a ataques informáticos

Aunque acabamos de detallar ataques llevados a cabo con robo de información por parte de gente de la misma empresa, estos no suelen ser los más comunes y a menudo el causante del robo de datos usa su propio justificante moral para llevarlo a cabo, el llamado Hacktivism.

Según el estudio 2016 Data Breach Investigations Report (DBIR), publicado por Verizon, la gran mayoría de los problemas son causados por agentes externos:

“Para aquellos que han leído los DBIR en ocasiones anteriores, no se sorprenderán. Una vez más, los actores en las violaciones son predominantemente externos. Mientras que esto no va con la idea folclórica de los individuos del área de seguridad de la información, la historia que nos dice la estadística es que, cuando se trata de la divulgación de datos, el ataque no viene de adentro de casa. Y no importa el tamaño de tu casa o si hay más gente afuera de ella que adentro.»

Fuente: Verizon, 2016 Data Breach Investigations Report

Fuente: Verizon, 2016 Data Breach Investigations Report

En la gran mayoría de los casos, la motivación para llevar a cabo la violación es económica. Varía el porcentaje de año con año, pero oscila entre 75 por ciento yhasta casi el 80 por ciento de los casos.   El segundo motivo más importante es espionaje, variando entre 15 por ciento y el 20 por ciento. Los demás motivos, como pudieran ser por diversión, ideología, venganza o cualquier otro solamente representan cuando mucho de un 3 a 5 por ciento de los casos anualmente.

¿Cuáles son los método preferidos de ataque?

El phishing sigue siendo el método favorito para entrar a los sistemas de las víctimas. Este método es cuando una persona recibe un correo o documento que contiene malware (infecciones maliciosas para programas), y que al abrir deja instalado en el sistema “puertas” que dan la posibilidad deadentrarse más allá en los sistemas y bases de datos de las empresas o individuos. En caso del equipo de un individuo, muy a menudo es todo lo que necesita el “malo” para tener acceso a su información bancaria, personal y confidencial. Sin embargo, cuando se trata de equipos de cómputo de una empresa, el hacker puede llegar a tener acceso a los sistemas donde reside la información confidencial, incluyendo aquella que requiere de protección intelectual.

Muy a menudo, la víctima que abre el correo o que le da clic al programa que recibe, lo hace inocentemente y ni cuenta se da que ya abrió la puerta al malware que se puede utilizar para obtener información delicada.

Según el mismo reporte de Verizon, la siguiente gráfica reporta el número de incidentes por tipo de invasión:

Verizon, 2016 Data Breach Investigations Report

Verizon, 2016 Data Breach Investigations Report

En un mundo cada día más dependiente de los sistemas de información y de tecnologías digitales, el administrar y proteger nuestros sistemas tecnológicos de ataques cibernéticos se convierte en una obligación cada día más importante para los directivos y consejeros de las empresas.

Los ataques pueden ser sumamente dañinos. Implican costos tangibles, que pueden ser desde robo de fondos hasta multas, demandas legales, compensaciones por daños a los afectados o pérdida de ingresos por tener que detener operaciones. No se diga de los costos intangibles, como pueden ser la pérdida de imagen, pérdida al valor de la marca e inclusive la pérdida de propiedad intelectual que puede llevar a quebrar a la empresa.

La verdad es que todas las empresas tienen información valiosa que si se pierde o es comprometida pueden ponerla en jaque. A la vez, es imposible pensar que cualquiera esté completamente blindado contra ciberataques. Inclusive hasta la fecha, no se conoce ningún sistema que sea totalmente a prueba de este tipo de ataques. Le puede suceder a cualquiera, como lo hemos visto en los ejemplos anteriores.

Los directivos y consejeros de las empresas deben considerar como obligación ser conscientes de los riesgos de un ciberataque y tener sistemas que cuenten con algún tipo de protección , así como tener sistemas redundantes y flexibles que les permitan seguir operando. No debemos considerar que estamos protegidos simplemente por tener contraseñas y una persona de sistemas con conocimiento técnico. Es indispensable tener un programa con medidas para lidiar con este posible acto vandálico e ilegal.

Al final del día, tenemos que estar conscientes de estos riesgos y tener protección contra los ciberataques. Hasta cierto punto, esto es un poco como el chiste de los dos cazadores cuando son perseguidos por el león; tenemos que ser más rápidos corriendo del león que el otro cazador. Lo que tenemos que tener en nuestros sistemas y equipos es que sean mejores que los de los demás. Generalmente, el sinvergüenza que se dedica a estos ataques se va contra el más débil, contra el que es fácil de atacar. Simplemente tenemos que tener mejor sistemas de protección, para poder correr más rápido que el otro cazador para no ser presa del ataque del hacker, pero eso implica un plan estratégico, tiempo, dinero, revisiones continuas y enfoque en hacer más que el resto de las empresas en áreas que comúnmente no son parte de las operaciones diarias de la compañía.

Larry Newell